Ricerca utilizzando CORS prima anziché JSONP, è molto più facile da usare, più sicuro e più affidabile come puoi gestire gli errori con jQuery. Il supporto è discutibile per IE8 e IE9 ma tutti gli altri browser principali funzionano correttamente. Il tuo codice di back-end del server Web deve solo inviare alcune intestazioni HTTP e inizia a funzionare con richieste AJAX regolari.
Se si desidera che i browser accettino un certificato autofirmato prima di utilizzare il servizio, è necessario digitare manualmente l'indirizzo IP del server nella barra degli indirizzi del browser Web. In primo luogo, genererà un avvertimento ingiustificato, quindi verifica manualmente gli hash del certificato rispetto agli hash del certificato reale, quindi archivia l'eccezione (considera il certificato). In alternativa, puoi esportare il certificato dal server in un file, quindi gli utenti possono caricare manualmente il file del certificato nel trust store del browser che si trova nelle impostazioni / preferenze del browser.
Ricevere un certificato autofirmato direttamente dall'operatore del sito web (ad esempio di persona) quindi memorizzarlo nella cache del browser è molto più sicuro che affidarsi a una terza parte come una "Autorità di certificazione" firmarlo. Ciò elimina praticamente gli attacchi MITM attivi e i problemi con le CA compromesse che firmano certificati falsi. Tuttavia, affinché ciò funzioni, è necessario eliminare il browser da tutte le autorità dei certificati di olio di serpente pre-firmati in modo che solo il certificato autofirmato sia considerato attendibile. Se li lasci lì, un utente malintenzionato con accesso lungo uno degli hop del router al tuo server (think intelligence agency) può intercettare la tua connessione, creare un falso certificato al volo, presentarti con il certificato falso firmato dalla CA compromessa di cui il tuo browser si fida già, quindi MITM attivamente la tua connessione lasciandoti completamente inconsapevole, a meno che tu non verifichi manualmente i dettagli della connessione e ti rendi conto che non hai ricevuto Verisign per firmare il tuo certificato autofirmato .... Con le CA radice pre-attendibili rimosso dal browser, e il tuo autofirmato si è fidato esplicitamente di questo non è più possibile e riceverai un avviso spaventoso legittimo se il certificato cambia.
Visualizzazione obbligatoria: Moxie Marlinspike e il futuro dell'autenticità.